کوکیها، به شکلی که در فناوریهای وب فعلی پیادهسازی شدهاند، اساساً یک شناسه منحصربهفرد تولید شده بهصورت تصادفی را ذخیره میکنند که سپس در طول تعامل با وبسایتهای خاص به مرورگر کاربر پیوند داده میشود. این شناسهها ذاتاً حاوی دادههای شخصی نیستند؛ با این حال، ارتباط یک شناسه ثابت با فعالیت وب پایدار، امکان جمعآوری پروفایلهای رفتاری دقیق را در طول زمان فراهم میکند. شواهد، یافتههای کلیدی زیر را نشان میدهند:
- شناسههای منحصربهفرد در کوکیها ردیابی بین جلسات را تسهیل میکنند: پس از تخصیص، شناسه کوکی امکان شناسایی مرورگرهای بازگشتی را فراهم میکند و به سایتها اجازه میدهد تا بازدیدها و اقدامات متعدد را به یک پروفایل واحد مرتبط کنند (Mayer & Mitchell, 2012).
- شناسایی شخصی از طریق غنیسازی پروفایل امکانپذیر میشود: اگرچه کوکیها خودشان نام یا شناسههای مستقیم را ذخیره نمیکنند، اما وقتی با دادههای ارائهشده توسط کاربر (مانند ورود به سیستم، ارسال فرم) پیوند داده شوند، کوکی میتواند به یک نماینده برای هویت شخصی تبدیل شود. این پیوند به ویژه در پلتفرمهایی که نیاز به احراز هویت دارند، شایع است (Krishnamurthy & Wills, 2009).
- کوکیهای شخص ثالث نگرانیهای مربوط به حریم خصوصی را تشدید میکنند: سازوکارهای ردیابی شخص ثالث که توسط نهادهایی غیر از وبسایت مورد بازدید تنظیم میشوند، دادههای مرور را در دامنههای مختلف جمعآوری میکنند. این دادهها پروفایلسازی و شناسایی مجدد به طور بالقوه تهاجمی را حتی بدون رضایت صریح کاربر امکانپذیر میسازند (Englehardt & Narayanan, 2016).
- چارچوبهای نظارتی کوکیها را به عنوان دادههای شخصی در نظر میگیرند: طبق GDPR و CCPA، کوکیها - بهویژه آنهایی که پروفایلسازی کاربر یا تبلیغات هدفمند را امکانپذیر میسازند - به عنوان دادههای شخصی تلقی میشوند. رضایت صریح قبل از ذخیره یا دسترسی به چنین شناسههایی الزامی است (“Regulation (EU) 2016/679,” 2016).
- مطالعات تجربی خطرات شناسایی را تأیید میکنند: تحقیقات تأیید کردهاند که ترکیب دادههای کوکی با اطلاعات کمکی از ثبتنام حسابها یا کارگزاران شخص ثالث میتواند به نرخهای شناسایی کاربر با اطمینان بالا منجر شود (Acar et al., 2014).
به طور خلاصه، در حالی که یک مقدار خام کوکی یک شناسه صریح نیست، شناسههای پایدار در ترکیب با اطلاعات رفتاری و داوطلبانه میتوانند به شناسایی شخصی عملاً منجر شوند. این خطر با تجمیع دادههای شخص ثالث و عدم آگاهی یا کنترل کاربر افزایش مییابد.
